За политика за поверителност на данните на английски език, моля вижте тук.
I. ПРЕДМЕТ, ЦЕЛ И ОБХВАТ
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД осъществява дейности като туроператор, туристическа агенция и спомагателни туристически дейности и е администратор на лични данни. Дружеството обработва личните данни самостоятелно или чрез възлагане на обработващ данните, като осигурява спазването на изискванията на Закона за защита на личните данни (ЗЗЛД), приложимото европейско законодателство (Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета и свързани с него документи), подзаконовите нормативни актове относно защитата на личните данни, сертифицирана Система за управление на сигурността на информацията (ISO/IEC 27001:2013) и вътрешни правила за обработка и защита на лични данни.
Настоящата Политика за защита на личните данни на БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД (накратко Политиката) определя основните принципи и правила, свързани с обработването на лични данни, правата на субектите на данни, задълженията и отговорността на БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД, в качеството на администратор на данни и на служителите под контрола на Дружеството, функциите на отговорник по сигурността на личните данни и поддържаните от БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД регистри за обработка на лични данни.
Политиката е част от цялостна система от вътрешни регламенти, технически и организационни мерки, които БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД поддържа, с цел да гарантира, че неговите служители, контрагенти и всички други физически и юридически лица, които чрез възлагане, обработват лични данни, от името на БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД, стриктно ще спазват изискванията на приложимото европейско и национално законодателство и на вътрешните правила, като по този начин ще се осигури защитата и сигурността на личните данни на физическите лица (субектите).
Принципът за защитата и сигурността на личните данни е основен принцип при изпълнение на бизнес процесите на БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД. Неговото спазване е задължение и отговорност на всеки служител и се споделя от всички структурни звена в БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД. Настоящата политиката развива този принцип в конкретни правила и цели да подпомогне служителите в тяхната ежедневна работа с лични данни, така че да се избегне неговото нарушение.
Нарушението на сигурността на личните данни може да доведе до висок риск за правата на засегнатите физически лица и да има значителни негативни последици, както за БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД, така и за неговите служители, нарушили изискванията на приложимите нормативни изисквания и на вътрешните регламенти на Дружеството. Поради това всяко неспазване на тази Политика се третира като сериозно нарушение.
За поддържане на съответствие с европейското и национално законодателство в областта на личните данни, ръководството на Дружеството е одобрило и поддържа набор от документирани политики и правила за сигурност и защита на обработваните в БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД лични данни.
Всички служители са длъжни да познават и прилагат съответните политики и правила на БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД. Дружеството изисква от външните страни, с които учредява търговски отношения, да спазват на принципите, изложени в настоящата политика.
II. СВЪРЗАНИ ДОКУМЕНТИ
РЕГЛАМЕНТ (ЕС) 2016/679 на Европейския Парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)
Закон за защита на личните данни
Кодекс на труда (В сила от 01.01.1987 г., Обн. ДВ. бр.26 от 1 Април 1986г., изм. и доп. ДВ. бр.30 от 3 Април 2018г.) – (КТ);
Кодекс за социално осигуряване (Обн. ДВ. бр.110 от 17 Декември 1999г., изм. и доп. ДВ. бр.30 от 3 Април 2018г.) – (КСО);
Закон за здравословни и безопасни условия на труд (Обн., ДВ, бр. 124 от 23.12.1997 г., бр. 97 от 5.12.2017 г.) – (ЗЗБУТ);
НАРЕДБА № 4 от 11.05.1993 г. за документите, които са необходими за сключване на трудов договор (Издадена от министъра на труда и социалните грижи, обн., ДВ, бр. 44 от 25.05.1993 г., изм. и доп., бр. 99 от 12.12.2017 г.)
Други закони, специфични за БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД
Политики и процедури по информационна сигурност ИСУ част Информационна сигурност
Политики и процедури на Системата за управление на личните данни:
POL 02 Политика за защита на личните данни на служителите
POL 03 Политика за обучение по защита на личните данни
PRO 01 Процедура за поверителност на данните
PRO 02 Процедура за съгласие от субектите
PRO 03 Процедура за оттегляне на съгласието
PRO 04 Процедура за управление заявките от субектите
PRO 05 Процедура за реакция и информиране в случай на нарушение с личните данни
PRO 06 Процедура за управление на процесите от доставчици/подизпълнители
III. ТЕРМИНИ, ОПРЕДЕЛЕНИЯ И СЪКРАЩЕНИЯ
„Лични данни” са всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“).
„Субект на данните“ – физическо лице, което е идентифицирано или което може да бъде идентифицирано въз основа на определена информация, по-специално чрез идентификатор, като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
„Обработване на лични данни” означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни, чрез автоматични или други средства, като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване, чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
„Регистър на лични данни” e всеки структуриран набор от лични данни, достъпът до които се осъществява, съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен, съгласно функционален или географски принцип;
„Съгласие на субекта на данните” е всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
„Нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
„Администратор на лични данни“ е физическо или юридическо лице, публичен орган, агенция или друга структура, която, сама или съвместно с други, определя целите и средствата за обработването на лични данни. Когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Европейския съюз (ЕС) или в правото на държава членка;
„Обработващ лични данни” е физическо или юридическо лице, което обработва лични данни, от името на администратора на лични данни;
„Получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни, в рамките на конкретно разследване, в съответствие с правото на ЕС или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните, съобразно целите на обработването.
„Ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;
„Профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;
„Псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;
„Трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;
„Права на субекта на данните“ са разписаните в чл. 12-23 на Регламент 2016/679 субективни права на физическите лица, чиито лични данни се обработват, и включват по-конкретно следното:
право на информация и достъп до лични данни (вкл. получаване на копие);
право на коригиране и изтриване (право „да бъдеш забравен“);
право на ограничаване на обработването;
право на преносимост на данните;
право на възражение, вкл. при автоматизирано вземане на индивидуални решения.
право на достъп – уредено субективно право на субектите на данните по чл. 15 от Регламента, състоящо се от три правомощия:
получаване на потвърждение дали ЛД на субекта се обработват,
получаване на подробна информация за целите на обработката, категориите ЛД, получателите, срока на обработка и други, и
получаване на копие от обработваните ЛД.
IV. РОЛИ И ОТГОВОРНОСТИ
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД изпълнява ролята на администратор на лични данни и в отделни случаи обработващ лични данни.
Ръководството е отговорно за разработването и насърчаването на персонала и външните страни за спазване на принципите и добрите практики за обработка на лични данни в рамките на и от името на Дружеството, с цел прилагане на европейското и национално законодателство.
Конкретните отговорности и задължения са разписани в настоящата политика, както и във всички политики и правила в БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД, свързани с обработката, сигурността и защитата на лични данни.
Всички ръководители на структурни звена в Дружеството са отговорни за контрол по изпълнението на внедрените правила за защита на лични данни и се отчитат пряко пред ръководството. Конкретните отговорности и задължения по функции и нива са разписани в политиките и процедурите на настоящата Система за управление на личните данни.
Отговорностите и задълженията на Отговорника по защита на личните данни са документирани в RD 1.1 – Длъжностна характеристика на Отговорник по защита на личните данни. Служителят е запознат с тях и удостоверява, че ги приема с подписването на длъжностната характеристика.
Отговорникът по защита на личните данни носи отговорност за осигуряване на съответствие на процесите и дейността на БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД с настоящата политика и всички политики и правила на Дружеството в областта на защита и сигурност на личните данни.
Отговорникът по защита на личните данни като контактно лице има конкретни отговорности и взема решения по отношение на постъпили заявки от субекти, разяснява на служителите въпроси, свързани с личните данни и комуникира с надзорния орган – КЗЛД.
Поддържане на съответствие със законодателството за защита на данните е отговорност на всички служители, които работят в Дружеството и изпълняват операции по обработване на лични данни.
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД е внедрила POL 03 – Политика за обучение по защита на личните данни, с която се определят специфичните изисквания за обучение и повишаване на информираността и осъзнатостта на служителите във връзка със защитата на лични данни.
V. ОСНОВНИ ПРИНЦИПИ, СВЪРЗАНИ С ОБРАБОТКА НА ЛИЧНИ ДАННИ
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД обработва личните данни при спазване на следните принципи:
1. Законосъобразност, добросъвестност и прозрачност
Дружеството обработва личните данни законосъобразно, добросъвестно и по прозрачен начин, по отношение на субектите на данните.
1.1. Законосъобразност на обработването
Всяко обработване на лични данни от БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД се основава на валидно правно основание и се осъществява при спазване на външната и вътрешна нормативната уредба. Спрямо правните основания се прилага принципа на алтернативност.
Законосъобразно е обработването на данните при следните условия:
когато е необходимо за спазването на законово задължение, което се прилага спрямо дейността на БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД;
субектът на данните е дал съгласие за обработване на личните му данни, за една или повече конкретни цели, чрез предоставяне на Дружеството на съответните писмени документи и/или чрез други действия и технически способи (включително по електронен път);
когато е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки, по искане на субекта на данните, преди сключването на договор (такива са трудов договор, договор с клиент, договор с доставчик, контрагент, договор за предоставяне на услуга или доставка на продукт и др.);
за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;
за изпълнението на задача от обществен интерес или при изпълнението на действия по силата на законов или подзаконов нормативен акт (включително обработване, свързано с предоставяне на информация на орган на власт);
за целите на легитимните интереси на БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.
Законосъобразност на обработването на данни на клиентите и доставчиците
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД обработва лични данни на своите клиенти и доставчици съобразно законовите изисквания и за целите на легитимните интереси на Дружеството, и във връзка с изпълнението на договорите между страните.
Законосъобразност на обработването на данни на служителите
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД обработва лични данни на своите служители, на основание на приложимото трудово, осигурително и данъчно законодателство, в качеството на работодател (осигурител) и във връзка с дейността по сключването и изпълнението на трудовите договори.
Законосъобразност на обработването на данни на контрагенти по извън трудови отношения
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД обработва лични данни на контрагенти по извън трудови отношения – физически лица, на основание на приложимото осигурително и данъчно законодателство, в качеството на възложител (осигурител) и във връзка с дейността по сключването и изпълнението на договорите с контрагентите.
1.2. Добросъвестност и прозрачност
В изпълнение на принципа на прозрачност при обработването на лични данни, БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД информира служителите, клиентите, доставчиците, контрагентите и партньорите, по подходящ, ясен и разбираем начин, за дейността по събиране и обработване на личните им данни, от страна на БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД и за техните права във връзка със защитата на личните им данни, включително чрез информация на интернет страницата си.
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД оказва съдействие на субектите на данни за упражняване на техните права. Служителите, доставчиците и партньорите, в качеството им на обработващи лични данни, са информирани за правата на клиентите като субекти на лични данни и се задължават да им предоставят информация и да им оказват съдействие в тази връзка.
2. Ограничение на целите
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД събира лични данни за конкретни, изрично указани в съответните нормативни актове, договори, съгласия или други документи и формуляри, легитимни цели и не ги обработва по-нататък по начин, несъвместим с първоначално определените цели.
3. Свеждане на данните до минимум
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД обработва лични данни, които са подходящи, свързани със и ограничени до необходимото, с оглед целите, за които се обработват.
4. Точност
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД събира и обработва лични данни и предприема всички разумни мерки, за да се гарантира своевременното коригиране или изтриване на неточни такива, като се имат предвид целите, за които те се обработват.
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД полага усилия да поддържа личните данни в актуален вид. В изпълнение на принципа за точност на събраните данни и с цел да изпълни коректно задълженията си към субектите, БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД ги насърчава да го информират за промяна на техни лични данни и им оказва съдействие за актуализирането на данните им.
5. Ограничение на съхранението
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД съхранява личните данни във форма, която да позволява идентифицирането на субекта на данните, за период, не по-дълъг от определения с нормативен акт, а ако такъв няма, за период не по-дълъг от необходимото за целите, за които се обработват личните данни.
След постигане целта на обработване или след изтичане на определен, в нормативен акт, срок на съхранение, БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД, в качеството си на администратор, е длъжно да унищожи личните данни.
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД може да прехвърли личните данни на друг администратор, като предварително уведоми за това Комисията за защита на личните данни (КЗЛД), ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването.
5.1. Съхранение на лични данни на клиенти
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД съхранява личните данни на своите клиенти на хартиен и/или електронен носител за срокове, съобразени с целите на събирането им. Сроковете са определени в процедурите за съхранение на личните данни, приети в Дружеството. Определените срокове са законосъобразни и обосновани с легитимния интерес на двете страни.
5.2. Съхранение на лични данни на служители
Съгласно изискванията на Кодекса на труда, ДОПК, Закона за счетоводството и Наредбата за трудовата книжка и трудовия стаж, БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД съхранява, за срок не по-кратък от 50 години, считано от прекратяването на съответното трудово правоотношение, на хартиен и/или електронен носител, трудовите досиета и документите, удостоверяващи изплатените възнаграждения на служителите.
5.3. Съхранение на лични данни на контрагенти по граждански договор
Съгласно изискванията на КСО, БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД съхранява, за целия срок на действието им и 3 години след прекратяването им, договорите с контрагентите по граждански договор и свързаните с тях документи, на хартиен и/или електронен носител.
Съгласно изискванията на ДОПК и Закона за счетоводството, БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД съхранява, за срок не по-кратък от 50 години, считано от прекратяването на съответното правоотношение, на хартиен и/или електронен носител, документите, удостоверяващи изплатените възнаграждения на контрагентите по граждански договори.
5.4. Съхранение на лични данни на доставчици и съвместни администратори
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД съхранява личните данни на своите доставчици и съвместни администратори в законосъобразни срокове и обосновани с договор или с легитимния интерес на двете страни.
6. Цялостност и поверителност
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД обработва личните данни по начин, който гарантира подходящо ниво на тяхната сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически и организационни мерки и при спазване на стандартите и изискванията за информационна сигурност на Интегрирана система за управление на качеството и сигурността на информацията ISO 9001:2015 и ISO/IEC 27001:2013.
7. Отчетност
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД носи отговорност за спазването на принципите, изложени в настоящата политика и изисква тяхното спазване от своите служители, контрагенти, доставчици и всички физически и юридически лица, които обработват лични данни, от името на БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД и по негово възлагане.
VI. КАТЕГОРИЯ ЛИЧНИ ДАННИ И СУБЕКТИ
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД обработва лични данни, които са предоставени от субекта на данните чрез договор, чрез декларация за съгласие, чрез друг документ по инициатива на лицето, с цел изпълнение на дейност, поискана от субекта на данни, или във връзка с упражняване на права.
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД обработва данни на клиенти и потенциални клиенти за целите на сключване и изпълнение на договори с тях. В категорията попадат данни на физически лица, представляващи конкретни юридически лица, клиенти на Дружеството, и на техни лица, посочени за контакт или на физически лица в качеството им на директни потребители на продуктите/услугите, предоставяни от Дружеството.
В качеството си на работодател, БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД обработва лични данни на своите служители, при спазване на нормативната уредба и актовете на НАП и НОИ. За допълнителни цели, извън нормативно определените, Дружеството обработва лични данни на служителите си за целите на: социални придобивки, организиране на Тийм билдинг, консултиране и сплотяване на работни екипи и други; контрол на дейностите съгласно Политиката за видеонаблюдението; застраховка и други, основани на съгласие от страна на служителите.
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД обработва лични данни на контрагенти по граждански договори – физически лица, с които има сключен договор за осъществяване на определена дейност.
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД обработва лични данни на доставчици и съвместни администратори, по-конкретно на физически лица, представляващи конкретните юридически лица, доставчици, партньори и съвместни администратори на Дружеството и на техни служители/представители, посочени за контакт.
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД не обработва специални категории лични данни, с изключение на:
данни за здравословното състояние на своите служители:
във връзка с изпълнение на законови изисквания, при назначаване на служителите;
за целите на трудовата медицина и здравословните и безопасни условия на труд на служителите;
законово основание са: КСО чл.40а; Наредба за паричните обезщетения и помощи от ДОО; Наредба за реда на представяне в НОИ на данните от издадените болнични листове и решения за обжалването им.
във връзка с упражняване правата на служителите при временна неработоспособност;
във връзка с упражняване на правата на служителите при трайно намалена работоспособност.
VII. ЗАДЪЛЖЕНИЯ НА СЛУЖИТЕЛИТЕ ОТНОСНО ЗАЩИТАТА НА ЛИЧНИТЕ ДАННИ
Всички служители на БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД са длъжни да познават и спазват изискванията на настоящата политика, както и на всички политики и правила на Дружеството във връзка със защитата и сигурността на обработваните лични данни.
Всички служители, обработващи лични данни в изпълнение на служебните си задължения, трябва да гарантират, че:
• информацията е акуратна и актуална;
• използването на информация е нужна за целта и не се пази по-дълго, отколкото е необходимо, вкл. и не се създават нерегламентирани копия;
• информацията е защитена.
Не се разрешава на служители да изнасят под каквато и да е форма лични данни извън площадката, освен с изричното разрешение на прекия ръководител и то единствено за целите на изпълнение на служебните задължения.
Дружеството ще осигури обучения за всички служители относно политиките, правилата и процедурите за защита на личните данни.
Всички служители са задължени да спазват принципите за обработка и за защита на лични данни, посочени в настоящата политика и придружаващите към нея политики и процедури. Неспазването на принципите за защита на личните данни може да доведе до нарушения на сигурността на данните. Служителят носи отговорност за извършените от негова страна действия и при нарушения подлежи на административна и наказателна отговорност съгласно действащото законодателство.
VIII. ИНФОРМАЦИЯ, ПРЕДОСТАВЯНА ОТ СТРАНА НА ДРУЖЕСТВОТО ПРИ ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
В случаите, когато БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД получи лични данни от субект на данни, му предоставя информация за:
данните на дружеството и нейните представляващи;
координати за връзка с отговорника по защита на данните;
целите на обработването на личните данни и основанието за обработване;
получателите или категориите получатели, на които могат да бъдат разкрити данните;
информация, дали предоставянето на лични данни е задължително, или договорно изискване, или е необходимо, с цел сключване на договор или с цел изпълнение на дейност, поискана от субекта на данни, (т.е. има доброволен характер) и последиците от отказ за предоставянето им;
информация за правата на субекта;
срока, за който се съхраняват данните или критериите, които определят периода на съхранение;
правото на жалба до компетентен орган.
Посочената информация се предоставя и когато личните данни не са получени от физическото лице (при първи контакт с него), освен ако физическото лице вече разполага с тази информация.
Когато личните данни не са получени от субекта на данните, БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД е длъжно да предостави на субекта на данни при поискване всякаква налична информация за техния източник.
Горните изисквания не се прилагат, в случаите, когато личните данни не идват от субекта на данните, но получаването или разкриването им е изрично разрешено от правото на ЕС или от националното законодателство и в което се предвиждат подходящи мерки за защита на легитимните интереси на БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД.
IX. ПРАВА НА СУБЕКТИТЕ НА ДАННИ
Съгласно Регламент 2016/679 и приложимото българско законодателство, субектите на лични данни имат:
Право на достъп
Субектът на данните има право да получи от БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД информация дали Дружеството обработва негови лични данни и ако ги обработва, той има право да получи достъп до тях и информация за:
целите на обработването;
съответните категории лични данни, които се обработват;
получателите или категориите получатели, пред които са или могат да бъдат разкрити неговите лични данни, вкл. получателите в трети държави или международни организации;
предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;
съществуването на право да се изиска коригиране или изтриване на негови лични данни или ограничаване на обработването им, или да се направи възражение срещу такова обработване;
правото на жалба до КЗЛД;
източника на личните данни, които са налични в Дружеството, когато те не са събрани пряко от субекта на данните;
съществуването на автоматизирано вземане на решения, включително профилирането, както и значението и предвидените последствия от това обработване за субекта на данните.
2. Право на коригиране – субектът на данни има право да поиска от Дружеството да коригира, без ненужно забавяне негови лични данни, които са неточни, както и да ги допълни, когато те са непълни.
3. Право на изтриване (право да „бъдеш забравен“)
Субектът на данни има правото да поиска от Дружеството изтриване на негови лични данни, а Дружеството има задължението да ги изтрие, без ненужно забавяне, когато е приложимо някое от посочените по-долу основания:
личните данни повече не са необходими за целите, за които са били събрани или обработвани;
субектът на данните оттегля своето съгласие, въз основа на което се обработват неговите данни и няма друго правно основание за обработването им;
субектът на данните възразява срещу обработването съгласно член 21, параграф 1 от Регламент 2016/679 и няма законни основания за обработването, които да имат преимущество, или субектът на данните възразява срещу обработването съгласно член 21, параграф 2 от Регламент 2016/679;
личните данни са били обработвани незаконосъобразно.
Дружеството прекратява обработването на личните данни, в случаите на чл. 7.3, б. „в“:
винаги, когато получи възражение по чл. 7.7.2, за целите на директния маркетинг;
при получено възражение по чл. 7.7.1, ако не докаже, че съществуват законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.
Прекратяване на обработването не се извършва, когато:
не е изтекъл нормативно определен срок за задължително съхранение на данните;
обработването е основано на задължение по договор между БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД и субекта на данните и договора не е прекратен;
обработването е необходимо за установяването, упражняването или защитата на правни претенции;
обработването е необходимо за спазване на задължение, което го изисква, предвидено в нормативен акт.
4. Право на ограничаване на обработването
Субектът на данните има право да изиска от БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД ограничаване на обработването им, ако:
обработването е неправомерно, но той не желае личните му данни да бъдат изтрити, а изисква, вместо това, ограничаване на използването им;
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД не се нуждае повече от неговите лични данни, за целите на обработването им, но той ги изисква за установяването, упражняването или защитата на правни претенции;
Данните, чието обработване е ограничено, съгласно чл. 7.4, се обработват, само със съгласието на субекта или за установяването, упражняването или защитата на правни претенции, или за защита на правата на друго физическо лице, или поради важни основания, от обществен интерес, за ЕС или Република България.
Когато субект на данните е изискал ограничаване на обработването, съгласно чл. 7.4, БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД го информира, преди отмяната на ограничаването на обработването.
При извършване на коригиране, изтриване или ограничаване на обработването на лични данни БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД съобщава за всяко извършено действие на всеки получател, на когото личните данни са били предоставени, освен ако това е невъзможно или изисква несъразмерно големи усилия. Дружеството информира субекта на данните относно тези получатели, ако субектът на данните поиска това.
5. Право на възражение
Субектът на лични данни има право на възражение срещу обработването на лични данни, отнасящи се до него, ако обработването е на основание изпълнение на задача от обществен интерес или на основание упражняване на официални правомощия, които са предоставени на Дружеството или обработването е било необходимо за целите на легитимните интереси на БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД или на трета страна.
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.
Когато БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД обработва лични данни, за целите на директния маркетинг, субектът на данни има право, по всяко време, да направи възражение срещу обработването им, за този вид маркетинг, включително профилиране, доколкото то е свързано с директния маркетинг. В случай на постъпило възражение, БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД прекратява обработването на личните данни, за целите на директния маркетинг.
В момента на първото осъществяване на контакт със субекта на данните, БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД изрично го уведомява, за правото му на възражение, като уведомлението му се представя, по ясен начин и отделно от всяка друга информация.
Субектът на данните има право да не бъде обект на решение, основаващо се единствено на тяхното автоматизирано обработване, включващо профилиране, което поражда правни последствия за него или го засяга, в значителна степен.
Дружеството прилага вътрешни правила и PRO 04 – Процедура за управление заявките на субектите, които регламентират реда и условията за приемане, разглеждане и отговор на искания от физически лица за упражняване на правата им като субекти на лични данни.
X. СЪДЕЙСТВИЕ НА СУБЕКТИТЕ ПРИ ОСЪЩЕСТВЯВАНЕ НА ПРАВАТА ИМ
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД е длъжно да предоставя прозрачно и достъпно на субектите, чиито лични данни обработва, информация за правата им, писмено, устно или по друг начин, при поискване от тяхна страна.
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД съдейства за упражняване на правата на субекта, чиито лични данни обработва и не може да откаже да предприеме действия по негово искане, за упражняване на правата му, освен ако не е в състояние да го идентифицира.
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД предоставя на субекта на данни информация относно действията, предприети по негово искане, относно упражняване на правата му, без ненужно забавяне и във всички случаи, в срок от един месец, от получаване на искането. При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията. БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД информира субекта на данните за всяко такова удължаване, в срок от един месец, от получаване на искането, като посочва и причините за забавянето.
Когато субектът на данни подава искане чрез електронни средства, по възможност, информацията се предоставя по идентичен начин, освен ако субектът на данни не е поискал друго. Правото му да получи копие от информация или достъп до личните си данни не трябва да засяга, неблагоприятно правата и свободите на другите субекти, чиито данни се обработват.
Ако БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД не предприеме действия по искането на субекта на данни, то го уведомява, без забавяне и най-късно в срок от един месец, от получаване на искането, за причините да не предприеме действия и за възможността за подаване на жалба до Комисията за защита на личните данни (КЗЛД) и търсене на защита по съдебен ред.
Информацията, предоставяна на субекта на данни, по негово искане и всяка комуникация и действия, свързани с упражняване на правата му, се предоставят безплатно. Когато исканията на субект на данни са явно неоснователни или прекомерни, по-специално поради своята повторяемост, БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД може:
да наложи разумна такса, като взема предвид административните разходи за предоставяне на информацията или комуникацията, или предприемането на исканите действия, или
да откаже да предприеме действия по искането.
Когато БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД има основателни съмнения във връзка със самоличността на физическото лице, което подава искане, с цел упражняване на правата си, може да поиска предоставянето на допълнителна информация и/или документи, необходими за потвърждаване на самоличността на субекта на данните.
XI. УПРАВЛЕНИЕ НА ВЗАИМООТНОШЕНИЯТА АДМИНИСТРАТОР И ОБРАБОТВАЩ ЛИЧНИ ДАННИ
В качеството си на администратор на лични данни, БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД въвежда подходящи технически и организационни мерки, част от които е и настоящата Политика, за да гарантира и да е в състояние да докаже, че обработва лични данни, в съответствие с Регламент 2016/ 679 и приложимото национално законодателство, имайки предвид естеството, обхвата, контекста и целите на обработването, както и рисковете, с различна вероятност и тежест, за правата и свободите на физическите лица. Мерките се преразглеждат и при необходимост се актуализират.
В БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД е внедрена сертифицирана Интегрирана система за управление на качеството и сигурността на информацията ISO 9001:2015 и ISO/IEC 27001:2013. което е предпоставка за адекватна защита на данните и правата на субектите на данни.
Обработващи лични данни
Обработващи лични данни, от името на БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД, са всички служители и контрагенти по граждански договори, когато обработват лични данни, при или по повод изпълнение на служебните си или договорни задължения.
По смисъла на настоящата Политика обработващи лични данни са и всички физически и юридически лица, които въз основа на сключени с БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД договори извършват операции по обработване на лични данни.
Когато възлага обработване на лични данни, БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД използва само обработващи лични данни, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на Регламент 2016/679, приложимото национално законодателство и да осигурява защита на данните и правата на субектите на данни.
Обработващи лични данни, от името на БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД, не включват друг обработващ данни, без предварителното, конкретно или общо, писмено разрешение на БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД. В случай, че БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД предостави на обработващия лични данни общо писмено разрешение, обработващият се задължава да информира БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД предварително, за всякакви планирани промени за включване или замяна на лица, обработващи данни, като БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД си запазва правото да оспори тези промени.
Обработването, от страна на обработващия лични данни, се урежда с договор или с друг правен акт, в който се регламентират естеството и целта на обработването, срока на обработването, вида лични данни и категориите субекти на данни, и задълженията и правата на обработващия и на БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД, като за обработващия лични данни, задължително се включват следните задължения:
да действа единствено по указания на БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД;
да гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са задължени по закон да спазват поверителност;
да подпомага БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД с всички подходящи средства, за да се гарантира спазването на разпоредбите относно правата на субекта на данни;
да взема всички необходими мерки за сигурност при обработването;
по избор на БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД да заличава или връща на БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД всички лични данни след приключване на предоставянето на услуги по обработване на данни и заличава съществуващите копия, освен ако правото на Европейския съюз или законодателството на Република България не изисква съхранение на личните данни;
да предоставя на БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД цялата информация, необходима за доказване на спазването на договорените ангажименти;
да спазва условията, споменати по-горе за включване на друг обработващ лични данни;
да подпомага БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД при изпълнението на задълженията, съгласно членове 32-36 от Регламент 2016/679, като отчита естеството на обработване, което му е възложено и информацията, до която му е осигурен достъп;
незабавно да уведомява БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД при установени нарушения, свързани с личните данни, възложени му за обработване или достъпни от негова страна.
Когато обработващ лични данни, на когото е възложено обработването на лични данни, от името на БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД, чрез договор или друг правен акт, включва друг обработващ лични данни, за извършването на специфични дейности по обработване, на това друго лице се налагат същите задължения за защита на данните, като задълженията, предвидени в договора или акта, между БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД и обработващия лични данни. Другият обработващ лични данни се задължава да предостави достатъчно гаранции за прилагане на подходящи технически и организационни мерки, така че обработването, което той извършва, да отговаря на законовите изисквания. При всички случаи, първоначалният обработващ данните носи пълна отговорност, пред БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД, за изпълнението на задълженията на другия обработващ лични данни, на когото той е възложил извършването на специфични дейности по обработване.
XII. ПОДДЪРЖАНЕ НА РЕГИСТРИ ЗА ОБРАБОТКА НА ЛИЧНИТЕ ДАННИ
Информационните системи за обработка на данните на клиентите, служителите и контрагентите са вид електронни регистри, чиито собственик е БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД.
В системите за автоматизирано обработване се водят записи (логове) най-малко за следните операции по обработване: събиране, промяна, справки, разкриване и изтриване. Записите за извършена справка дават възможност за установяване на датата и часа на такива операции и доколкото е възможно — идентификацията на лицето, което е направило справката. Записите се използват единствено за проверяване на законосъобразността на обработването, за самоконтрол, за гарантиране на цялостността и сигурността на личните данни и при наказателни производства.
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД утвърждава правила за начина на събиране и съхраняване на личните данни, както и на сроковете и начина на унищожаване на данните от съответните регистри, съгласно специалните закони и приетите правила за информационна сигурност.
В качеството си на администратор на лични данни и обработващ лични данни, при осъществяване на дейността си Дружеството води, в електронен вид следните регистри:
Регистър на общите условия/декларации за защита на личните данни
Информацията в регистрите съдържа изискуемата от чл.30 на Регламент 2016/679, както и на чл.62, ал.1 и ал.2 от Закона за защита на личните данни.
Посочените регистри се поддържат в писмена форма и при поискване Дружеството предоставя достъп до тях на КЗЛД.
XIII. ОТГОВОРНИК ПО ЗАЩИТА НА ДАННИТЕ
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД определя Отговорник по защита на личните данни (ОЗЛД), публикува неговите данни за контакт на публичния си интернет сайт.
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД гарантира, че ОЗЛД участва по подходящ начин и своевременно, при решаването на всички въпроси, свързани със защитата на личните данни.
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД и обработващите лични данни, от нейно име, подпомагат ОЗЛД, при изпълнението на посочените му функции, като осигуряват ресурсите, необходими за изпълнението на тези функции, осигуряват му достъп до съответните регистри, лични данни и операции по обработване. БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД осигурява на ОЗЛД възможност да развива и поддържа своите експертни знания.
Субектите на данни могат да се обръщат към ОЗЛД по всички въпроси, свързани с обработването на техните лични данни и с упражняването на техните права.
ОЗЛД е длъжен да спазва секретността или поверителността на изпълняваните от него функции, в съответствие с националното законодателство.
Отговорникът по защита на личните данни може да изпълнява и други функции и задължения. БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД прави необходимото тези функции и задължения да не водят до конфликт на интереси с дейността му по защита на личните данни.
Основни функции и задължения на Отговорника по защита на личните данни:
представлява фирмата пред Комисията за защита на личните данни (КЗЛД);
информира и консултира БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД или обработващите лични данни, от негово име, включително служителите, които извършват обработване, за техните задължения по силата на Регламент 2016/679 и на други разпоредби на европейското и национално законодателство, свързани със защитата на лични данни;
съблюдава за спазването на Регламент 2016/679, на други разпоредби на европейското и национално законодателство и на вътрешните правила на БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД по отношение на защитата на личните данни, включително следи за възлагането на отговорности във връзка с обработването на лични данни, повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване;
при поискване, предоставя консултации по отношение на оценката на въздействието върху защитата на данните и съблюдава за извършването на оценката, съгласно чл. 35 от Регламент 2016/679;
сътрудничи с Комисия за защита на личните данни (КЗЛД);
действа, като лице за контакт за КЗЛД по въпроси, свързани с обработването, включително при предварителната консултация по смисъла на чл. 36 от Регламент 2016/ 679, както и по целесъобразност, се консултира с КЗЛД по всякакви други въпроси.
При изпълнението на своите функции, ОЗЛД надлежно отчита рисковете, свързани с операциите по обработване, и се съобразява с естеството, обхвата, контекста и целите на обработката.
XIV. СИГУРНОСТ НА ЛИЧНИТЕ ДАННИ И НАРУШЕНИЯ НА СИГУРНОСТТА
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД прилага подходящи технически и организационни мерки за осигуряване ниво на сигурност, съобразено с рисковете, с различна вероятност и тежест за правата на физическите лица.
Дружеството изисква от служителите си и третите страни, обработващи от негово име лични данни, да прилагат съответните политики и правила, описани в Системата за управление на личните данни (СУЛД)
Прилагането на конкретни организационни и технически мерки се базира на установените рискове за личните данни, като се отчитат и осигуряват:
подходящите обучения по функции и нива;
включването на защитата на данните в задълженията на служителите;
мониторинг на персонала и външните страни за спазване на съответните политики и правила;
контрол на физическия и логически достъп до електронни и хартиени записи;
контрол при използването на преносими електронни устройства извън работното място;
контрол при използването на лични устройства на служителите;
налагане на договорни задължения на обработващите организации да предприемат подходящи мерки за сигурност, когато данните са под техен контрол
и други.
БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД предприема действия, които да гарантират, че всяко физическо лице, действащо под ръководството на БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД, което има достъп до лични данни, обработва тези данни, само по указание на БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД, освен ако от това лице не се изисква да прави това, по силата на нормативен акт или директни договорни взаимоотношения с физическото лице.
В случай на нарушение на сигурността на личните данни, БАЛКАН ХОЛИДЕЙЗ СЪРВИСИС ЕООД прилага утвърдена PRO 05 – Процедура за реакция и информиране в случай на нарушение с личните данни.
В случай, че желаете да не получавате повече електронни съобщения от Балкан Холидейз, можете да се отпишете тук.